Risikoen for cybertrusler vokser i takt med, at verden bliver mere og mere digitaliseret og indbyrdes forbundet. Eksperter i informationssikkerhed siger ofte, at det ikke er et spørgsmål om "hvis", men snarere "hvornår" en bestemt enhed vil blive angrebet af cyberkriminelle. Luftfartsområdet er ikke immunt over for sådanne trusler. Der er trusler mod informationssikkerheden, som kan føre til driftsforstyrrelser eller påvirke luftfartssikkerheden.
EASA's opgave med at sørge for sikker luftfart i Europa (og på verdensplan) omfatter afbødning af informationssikkerhedsrisici. Den Europæiske Unions (EU's) lovpakke kræver, at informationssikkerhedsrisici identificeres, vurderes og behandles på en forholdsmæssig måde af organisationer, der er aktive i hele økosystemet for civil luftfart, og derefter kontrolleres for at undgå negative virkninger på borgernes sikkerhed. Dette økosystem omfatter organisationer, der er inddraget i flydesign, -produktion, -vedligeholdelse og drift samt træning og alle aktiviteter, der er nødvendige for, at flyoperationerne er sikre.
Hvilke trusler er der mod luftfarten, og hvor kommer de fra?
Luftfart er et "system af systemer", der – ud over luftfartsprodukter og tilknyttede teknologier – omfatter mennesker, processer og andre immaterielle aktiver, som er sårbare over for trusler mod informationssikkerheden.
Alle de forskellige systemer er komplekse og tæt forbundne. Der er utallige angrebsveje, der kan føre til et sikkerhedsproblem, og flyet er den sidste forsvarslinje. Enhver forbindelse mellem fly og jord (trådløs eller ej), enhver vedligeholdelseskomponent, ethvert industrisystem og selvfølgelig forsyningskæden er alle udsat for potentielle trusler. 
Truslerne er potentielle krænkelser som følge af uautoriseret adgang, brug, videregivelse, afbrydelse, ændring og/eller ødelæggelse af information og informationssystemer, der indgår i luftfartssystemet. Mange angreb kan have forsømmelse eller manglende opmærksomhed fra de ansattes side som tilgrundliggende årsag.
Trusler kan komme fra forskellige parter, herunder cyberkriminelle aktører, hacktivister og endda statssponsorerede aktører. Motivationen bag angrebene kan være økonomiske, politiske eller personlige årsager såsom anerkendelse eller en følelse af at have opnået noget.
Hvilke sektorer inden for luftfart synes at være de mest attraktive for ondsindede aktører?
Baseret på de data, som EASA's Cyber Threat Intelligence-team indsamler, så lufthavne ud til at være det mest populære mål for cyberangreb i slutningen af 2024, idet mere end 50 % af de registrerede målrettede angreb var mod luftfarten. De fleste af disse er Denial-of-Services-angreb – det er, når cyberkriminelle overvælder et system med en stor mængde trafik for at få det til at gå ned. Det kan forbindes med hacktivistaktivitet, som ofte næres af geopolitiske spændinger. Lufthavne lader til at give høj synlighed, når de rammes, på grund af de betydelige synlige virkninger, en hændelse medfører. Aflysningstavler og utilfredse, forsinkede passagerer er nemt visuelt materiale til nyhedshistorier.
Luftfartsselskaber synes at være det næstmest attraktive mål for ondsindede aktører, idet ca. 25 % af angrebene er rettet mod luftfartsselskaber. Ud over Denial-of-Service-angreb lider luftfartsoperatører også under ransomware-angreb (når cyberkriminelle krypterer en enheds data og kræver en løsesum for at dekryptere dem) og brud på datasikkerheden. Derfor har angrebene ikke blot en indvirkning på sikkerheden, men også på forretningskontinuiteten og driften.
Andre berørte sektorer baseret på de registrerede data er flyproducenter og vedligeholdelses-, reparations- og eftersynsorganisationer samt statslige institutioner, som også dagligt udsættes for forskellige typer af cyberangreb.
Hvad gør EASA for at gøre luftfarten mere modstandsdygtig over for cyberangreb?
EASA's tilgang til cybersikkerhed inden for luftfarten har fire søjler: certificering af luftfartsprodukter, organisatoriske informationssikkerhedsrisici, informationsdeling og kapacitetsopbygning.
Certificering af luftfartsprodukter
I begyndelsen blev cybersikkerhed i denne sammenhæng håndteret særskilt i hvert tilfælde. Ansøgere (organisationer, der søger om certificering af et fly) skulle vurdere de potentielle effekter, som trusler mod informationssikkerheden kunne have på flyets sikkerhedssystemer og -netværk.
Efterhånden som flysystemer og dele blev mere indbyrdes forbundne, var der flere potentielle angrebsveje. Så truslen kunne ikke længere håndteres særskilt i hvert tilfælde, og der var brug for en holistisk tilgang.
Til det formål har EASA indarbejdet specifikke krav til certificering af fly, der specificerer, at "flyets udstyr, systemer og netværk, betragtet separat og i forhold til andre systemer, skal være beskyttet mod forsætlig uautoriseret elektronisk interaktion, der kan have negative konsekvenser for flyets sikkerhed".
Organisatoriske informationssikkerhedsrisici
Da trusler mod informationssikkerheden ikke kun er begrænset til flyets design, men også omfatter mennesker og processer, blev der offentliggjort et nyt sæt regler i 2022 og 2023, den såkaldte "Part-IS", hvor IS står for "informationssikkerhed" (bestående af delegeret forordning (EU) 2022/1645 og gennemførelsesforordning (EU) 2023/203 – for dem, der ønsker at gå i dybden med emnet). Del-IS fastlægger krav med det formål at beskytte luftfartssystemet mod informationssikkerhedsrisici, der har en potentiel indvirkning på sikkerheden. Del-IS omfatter informations- og kommunikationsteknologisystemer og data, der anvendes af godkendte organisationer og myndigheder til civile luftfartsformål. For at nå sit mål kræver Part-IS, at der oprettes, implementeres og vedligeholdes et ledelsessystem for informationssikkerhed.
Deling af information
Den tredje søjle er informationsdeling, som i øjeblikket foregår i to forskellige strømme. Det Europæiske Center for Cybersikkerhed inden for Luftfart, som består af interessenter fra både branchen og myndighederne, og netværket af cyberanalytikere, som består af repræsentanter for medlemsstaterne. Det er fællesskaber, hvor der er opbygget tillid mellem de deltagende organisationer, så de kan dele viden, f.eks. trusselsefterretninger i form af rapporter, advarsler om mulige trusler og indsigter fra hændelsesanalyser, og fremme samarbejdet mellem medlemmerne.
Opbygning af kapacitet
Sidst, men ikke mindst, er kapacitetsopbygningsaktiviteter en vigtig del af EASA's tilgang til cybersikkerhed. I kraft af den hurtige teknologiske udvikling er det vigtigt for EASA's cybersikkerhedsteam at være opdateret. Derfor er træning et vigtigt element i teamets aktiviteter sammen med forskning, som spiller en central rolle for at forstå det fremtidige trusselsbillede og anlægge en proaktiv tilgang til cybersikkerhedstrusler.
Forskningsprojekt under Horisont Europa: CYBER – Luftfartens modstandsdygtighed og trusselsbilledet inden for cybersikkerhed
I 2024 lancerede EASA et forskningsprojekt om luftfartens modstandsdygtighed og trusselsbilledet inden for cybersikkerhed. Projektet har til formål at identificere cybersikkerhedstrusler, der har potentiel negativ indvirkning på sikkerheden i forbindelse med flyveoperationer. Med denne viden vil EASA hjælpe med at opbygge et stærkere og mere modstandsdygtigt luftfartssystem for fremtiden.
EASA's fællesskab for cybersikkerhed
Hvis du er interesseret i at følge alle ovenstående aktiviteter, har EASA oprettet et fællesskab for cybersikkerhed, hvor vi deler information om de mange forskellige emner, der er relateret til cybersikkerhed i luftfarten. Uanset om du er entusiast eller ekspert på området, vil vi gerne have dig om bord, så vi kan udveksle information om forskellige interessante emner inden for cybersikkerhed i luftfarten.
Et par bemærkninger om GNSS-interferens: jamming og spoofing
Siden februar 2022 er der sket en markant stigning i brugen af jamming og spoofing i det globale satellitnavigationssystem (GNSS), navnlig i regioner omkring konfliktområder og andre følsomme områder såsom Middelhavet, Sortehavet, Mellemøsten, Østersøen og Arktis. Måske har du endda læst om det i nyhederne. Disse hændelser falder også ind under cybersikkerhed i luftfarten.
Jamming er bevidst støjsending på en radiofrekvens, hvilket forhindrer GNSS-modtagere i at låse sig fast på satellitsignaler og gør systemet ineffektivt eller forringer det. Spoofing består i at udsende falske satellitsignaler med henblik på at snyde GNSS-modtagere og give ukorrekte data om position, navigation og tid. Systemet kan f.eks. fortælle piloterne, at de flyver over Paris kl. 7 om morgenen, mens de i virkeligheden flyver over Rom om aftenen. Disse forstyrrelser kan give forskellige operationelle udfordringer for fly og jordbaserede systemer, men de har ikke påvirket luftfartssikkerheden. EASA overvåger løbende fænomenet for at være klar til at rådgive alle luftfartsaktører i tilfælde af tegn på, at sikkerheden kan blive påvirket.